Поговорим о DLP. Как уберечься от инсайда::Журнал СА 11.2010
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6143
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6856
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4139
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2978
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3781
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3789
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6282
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3134
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3433
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7246
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10616
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12336
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13968
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9099
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7052
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5361
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4593
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3400
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3127
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3378
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 2999
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Поговорим о DLP. Как уберечься от инсайда

Архив номеров / 2010 / Выпуск №11 (96) / Поговорим о DLP. Как уберечься от инсайда

Рубрика: БИТ. Бизнес & Информационные технологии /  Защита информации

Андрей Бирюков АНДРЕЙ БИРЮКОВ, специалист по информационной безопасности. Работает в крупном системном интеграторе. Занимается внедрением решений по защите корпоративных ресурсов

Поговорим о DLP
Как уберечься от инсайда

Утечки информации стали настоящей головной болью администраторов. Какие сегодня имеются средства для борьбы с этим злом?

В любой компании информация является одним из ценнейших активов. Списки корпоративных клиентов и партнеров, их контакты, внутренние цены на работы и услуги, оклады сотрудников, различные пароли, учетные данные и многое другое может быть лакомым куском для конкурентов. И во многих компаниях принимаются меры по защите этих ресурсов – разворачиваются различные корпоративные средства защиты, такие как криптографические системы, средства межсетевого экранирования, средства фильтрации электронной почты и многое другое. Однако этих систем недостаточно для предотвращения утечек информации.

Дело в том, что криптографические системы, всевозможные электронные замки и прочие аналогичные средства ориентированы на предотвращение кражи носителя информации, например, кражи ноутбука или флеш-карты памяти. Но что если похитителем является законный пользователь системы? Другие средства защиты, такие как межсетевые экраны и системы фильтрации, ориентированы на защиту от злоумышленника, находящегося за пределами защищенного периметра. А если он находится внутри сети, обладает правами доступа и ему необходимо переправить конфиденциальную информацию за периметр? Очевидно, что описанные выше средства защиты вряд ли смогут предотвратить утечку данных изнутри.

Как российские, так и международные стандарты информационной безопасности предписывают перед внедрением средств защиты составить модель нарушителя и модель угроз. С нарушителем мы определились – это сотрудник организации, обладающий определенными правами доступа и пытающийся каким-либо способом переправить конфиденциальные данные за пределы периметра безопасности. Он это может сделать любым способом – от передачи по электронной почте, сохранения на бесплатном файловом хранилище или записи на флеш-карту памяти до снятия содержимого экрана на камеру телефона, установки закладок (жучков) и других средств промышленного шпионажа.

Модель угроз содержит угрозы хищения конфиденциальных данных посредством описанных выше способов. В частности, возможны угрозы хищения либо разглашения конфиденциальной информации, реализованные с помощью несанкционированного копирования данных на флеш-карту или передачу по электронной почте. При этом для бизнеса возникают весьма серьезные риски. На новостных ресурсах, посвященных ИТ и информационной безопасности, регулярно появляются сообщения, связанные с хищением конфиденциальной информации. Ущерб от таких инцидентов, как правило, исчисляется сотнями миллионов долларов.

Что такое DLP?

Для борьбы с утечками данных используются различные средства защиты, некоторые из них я уже перечислил ранее, однако наибольшее развитие в последнее время получила технология DLP (Data Leakage Prevention – предотвращение утечки данных). Здесь имеется в виду хищение данных сотрудниками компании.

Также в некоторых источниках можно встретить расшифровку DLP как Data Loss Prevention (предотвращение потери данных). В этом случае речь идет уже о потере носителя данных, например, в результате пожара или выхода оборудования из строя. Соответственно средства защиты от такой потери данных должны включать в себя резервное копирование и обеспечение отказоустойчивости системы. Так что Data Loss Prevention – это более общее понятие, имеющее отношение не только к информационной безопасности.

Итак, мы разобрались с угрозами, нарушителями и определениями систем DLP. Перейдем непосредственно к описанию того, как работают системы предотвращения утечек.

Прежде всего будем считать, что полноценной системой DLP является система, позволяющая осуществлять блокировку передачи данных с любого интерфейса компьютера. Нас не устраивает система DLP, которая блокирует только передачу данных по сети, но не контролирует порты компьютера. Также система, которая контролирует USB-порты, но не следит за SATA, и любой, кто имеет физический доступ к системной плате компьютера, сможет без труда подключить свой диск и переписать конфиденциальные данные.

Сразу оговоримся, что DLP не могут предотвратить визуальный съем данных с экрана монитора. Злоумышленник может снять картинку с экрана на свой мобильный телефон. Борьбой с такими утечками обязана заниматься служба безопасности организации, осуществляя слежение за действиями сотрудников посредством камер наблюдения, которые должны быть установлены в каждом рабочем помещении. Также DLP не занимается предотвращением утечек через ПЭМИН (побочное электромагнитное излучение наводки), так как для борьбы с этим необходимо специализированное и дорогое оборудование.

Как работает DLP?

Итак, полноценная система объединяет контроль над перемещением информации как на уровне коммуникаций с внешней сетью, так и на уровне оконечных устройств пользователей. Кстати, важной функцией полноценного решения DLP является возможность сканирования хранящихся файлов и баз данных для обнаружения мест расположения конфиденциальной информации. И еще желательно, чтобы система имела централизованный интерфейс управления всеми установленными на рабочие станции агентами.

Архитектура DLP-решений у разных разработчиков может различаться, но в целом можно выделить три основных модуля:

  • перехватчики/контроллеры на разные каналы передачи информации;
  • агентские программы, устанавливаемые на оконечные устройства;
  • центральный управляющий сервер.

Перехватчики анализируют проходящие потоки информации, исходящей из периметра компании, обнаруживают конфиденциальные данные, классифицируют информацию и передают для обработки возможного инцидента на управляющий сервер. Перехватчики могут быть как для копии исходящего трафика, так и для установки в разрыв трафика. В последнем случае потенциальная утечка может быть остановлена системой DLP.

Контроллеры для обнаружения хранимых данных запускают процессы обнаружения в сетевых ресурсах конфиденциальной информации. Способы запуска обнаружения могут быть различными: от собственно сканирования от сервера контроллера до запуска отдельных программных агентов на существующих серверах или рабочих станциях.

Контроллеры для операций на рабочих станциях распределяют политики безопасности на оконечные устройства, анализируют результаты деятельности сотрудников с конфиденциальной информацией и передают данные возможного инцидента на управляющий сервер.

Агентские программы на рабочих местах пользователей замечают конфиденциальные данные в обработке и следят за соблюдением таких правил, как сохранение на сменный носитель информации, отправки, распечатывания, копирования через буфер обмена.

Управляющий сервер сопоставляет поступающие от перехватчиков и контроллеров сведения и предоставляет интерфейс проработки инцидентов и построения отчетности.

Естественно, для того, чтобы система DLP достоверно различала конфиденциальную и открытую информацию, необходимо передать в систему логику, на основании которой должна происходить классификация. Встроенные механизмы DLP позволяют максимально автоматизировать и облегчить процессы обучения системы. В решениях DLP имеется широкий набор комбинированных методов:

  • цифровые отпечатки документов и их частей (в систему вводятся сотни тысяч документов одной командой);
  • цифровые отпечатки баз данных (в систему вводятся выгрузки из баз данных клиентов и прочей структурированной информации, которую важно защитить от распространения);
  • статистические методы (повышение чувствительности системы при повторении нарушений).

Как лучше настраивать систему DLP?

Современные системы класса DLP включают в себя набор готовых правил реагирования на обнаружение, например, данных кредитных карт, российских паспортов, стандартных форм финансовой отчетности. Но наибольший интерес системы DLP представляют после настройки на образцах конфиденциальных данных, имеющихся в обращении.

В статье [1] приводится принцип эксплуатации системы DLP, который заключается в циклическом выполнении нескольких процедур, описанных в таблице 1. При внедрении системы DLP следует подготовить набор правил для классификации документов, имеющихся в организации.

Таблица 1. Принципы эксплуатации систем DLP

Процедура Описание процедуры Роль участников со стороны бизнес-подразделений
Обучение системы принципам классификации информации Передача в DLP принципов обнаружения и классификации конфиденциальной информации Владельцы информационных ресурсов участвуют в классификации информации и указании мест расположения ресурсов
Ввод правил реагирования Настройка правил реагирования системы в привязке к категории обнаруживаемой информации и групп сотрудников, контроль действий которых должен осуществляться. Прописываются в исключения пользователи, действиям которых доверяют Службой безопасности разрабатываются и затем уточняются правила защиты ресурсов
Выполнение системой DLP операций контроля Система анализирует и нормализует информацию (исходящие информационные потоки, результаты сканирования сетевых ресурсов и рабочих станций, локальные действия пользователей). Выполняется сопоставление с принципами обнаружения и классификации данных. При обнаружении конфиденциальной информации система сопоставляет с существующими политиками, назначенными на обнаруженную категорию информации. В случае нарушений в системе создается инцидент Назначенные офицеры безопасности либо ответственные со стороны владельцев ресурсов получают уведомления о произошедших инцидентах

Обработка инцидентов

Созданные инциденты в системе могут быть связаны с такими правилами реагирования, как проинформировать/приостановить/заблокировать отправку. Кроме того, сводная информация и подробности об инцидентах доступны для анализа офицером безопасности/аудитором/владельцем ресурса в системе. В результате обработки офицером безопасности инцидент может быть закрыт/эскалирован/направлен на доработку политик

 

Мы разобрали требования к системам предотвращения утечек, изучили их архитектуру и требования к настройке. Теперь перейдем непосредственно к описанию имеющихся на рынке решений DLP.

Решения Websense

Продукты Websense представляют полноценный функционал по предотвращению утечек данных. Для предотвращения утечек по сетевым каналам связи разработчик предлагает Websense Data Security – систему защиты, основанную на контроле исходящего сетевого трафика, поиска хранимых данных и агентского контроля. Шлюзовые компоненты Data Security осуществляют контроль всех сетевых коммуникаций: электронной почты, веб-трафика, средств мгновенного обмена сообщениями и даже внутренней почты Exchange. При нарушении политики обмена данными могут быть заблокированы протоколы SMTP, HTTP и FTP.

Отдельно отмечу возможность анализа шифрованного трафика. С помощью дополнительного продукта Websense Content Gateway можно, используя сертификаты шифрования, осуществлять контроль шифрованного трафика.

При обнаружении инцидента утечки можно настроить следующие типы реакции: блокировка (SMTP, HTTP), карантин для SMTP, оповещение, перенаправление на шифрование. Для определения конфиденциального контента Websense использует цифровые отпечатки текста и баз данных, преднастраиваемые политики, в том числе и для русскоязычных документов, а также регулярные выражения и ключевые слова.

Система поддерживает порядка 400 основных форматов данных, т.е. может открывать и сканировать файлы данных форматов. Также система может открывать архивные файлы.

Для контроля хранимой информации (Data at Rest) и предотвращения утечек по данным каналам используется Websense Data Discover. Сканирование для обнаружения хранимой информации инициируется с помощью управляющего сервера, который запускает соответствующий процесс. С помощью агентов можно просканировать рабочие станции. Websense Data Discover может обрабатывать следующие источники статично хранящейся информации: файловые серверы (SMB), конечные рабочие станции, сетевые ресурсы общего доступа, порталы Sharepoint, базы данных с помощью ODBC, Exchange Server.

К сожалению, из систем документооборота может сканироваться только MS Sharepoint.

В качестве метода детектирования конфиденциального контента, как и в предыдущем модуле Websense, выступают цифровые отпечатки текста и баз данных, преднастроенные политики, регулярные политики и ключевые слова.

Следующим средством контроля утечки данных является Websense Data Endpoint. Данный модуль осуществляет контроль утечек данных с рабочей станции пользователя. Основными контролируемыми операциями являются: запись на съемные устройства, операции печати, отправка информации через локальные соединения, операции с буфером обмена (с возможностью блокирования).

Распечатка документов является одной из самых распространенных операций, которую совершает каждый офисный служащий практически ежедневно. Websense Data Endpoint контролирует печать на уровне рабочих станций. Также с помощью дополнительного модуля Printer Agent w/ORC возможно оптическое распознавание.

Механизмы распознавания: цифровые отпечатки текста, преднастроенные политики, регулярные выражения и ключевые слова.

Websense Data Endpoint поддерживает 32-битные редакции операционных систем Windows 2000/XP/Vista/7.

Еще одним важным условием является наличие средства централизованного управления системой и обработки инцидентов.

Интерфейс системы управления

У Websense данный продукт называется DSS Manager. Анализ фиксируемых событий осуществляется в едином веб-интерфейсе для всех событий. Для настройки политик используется отдельный интерфейс. История зафиксированных инцидентов сохраняется в специальном протоколе. В системе присутствует необходимая функциональность – разделение ролей системного администратора и администратора безопасности. Существует также возможность гибкой настройки ролей. При обнаружении инцидента возможны следующие ответные реакции: эскалация инцидента, запрос на разрешение пропуска сообщения электронной почты, закрытие инцидента и запуск сценария.

Рисунок 1. Websense. Интерфейс системы управления

Рисунок 1. Websense. Интерфейс системы управления

Итак, я описал функционал продуктов Websense. Перейдем к описанию решений от других разработчиков.

Решения Symantec

Продукты Symantec разделяются по аналогичному Websense принципу: контроль сетевого трафика, хранимых данных и рабочих мест пользователей.

Для предотвращения утечек по сетевым каналам связи нам предлагается Symantec Data Loss Prevention, система защиты, также основанная на контроле исходящего сетевого трафика, поиска хранимых данных и агентского контроля. Шлюзовые компоненты осуществляют контроль всех сетевых коммуникаций, таких как электронная почта, веб-трафик, средства мгновенного обмена сообщениями и Exchange. При нарушении политики обмена данными могут быть заблокированы протоколы SMTP, HTTP и FTP.

Возможность анализа шифрованного трафика HTTPS здесь также присутствует – с помощью сторонних решений, например BlueCoat, либо агентской части DLP Endpoint Prevent, о которой мы поговорим далее.

При обнаружении инцидента утечки в этом продукте можно настроить извещение пользователя, оповещение владельца информации или администратора информационной безопасности, блокировку, перенаправление на принудительное шифрование. Для определения конфиденциального контента продукт использует цифровые отпечатки текста и выборок, преднастраиваемые политики, в том числе и для русскоязычных документов, а также регулярные выражения и ключевые слова.

Система так же, как и Websense, поддерживает порядка 400 основных форматов данных, в том числе и вложенные в архивы документы.

Для контроля хранимой информации используется Symantec Network Discover. Сканирование для обнаружения хранимой информации инициируется с помощью управляющего сервера, который запускает соответствующий процесс. Также возможно принудительное перемещение найденных файлов (Network Protect). С помощью агентов можно просканировать рабочие станции. Symantec Network Discover может обрабатывать следующие источники статично хранящейся информации: файловые серверы, системы документооборота, почтовые базы Exchange, Lotus Domino.

Данный продукт может сканировать документы следующих систем документооборота: EMC Documentum, MS Exchange и Lotus Domino. Для организаций, активно использующих такие продукты на базе Lotus Domino, как CompanyMedia, это может оказаться значительным плюсом.

В качестве метода детектирования конфиденциального контента, как и в Websense, выступают цифровые отпечатки текста и баз данных, преднастроенные политики, регулярные выражения и ключевые слова.

Следующим средством контроля утечки данных является Symantec Endpoint Prevent & Discover. Данный модуль осуществляет контроль утечек данных с рабочей станции пользователя. Основными контролируемыми операциями являются: запись на съемные устройства, операции печати, отправка информации через локальные соединения (в том числе и через HTTPS), операции с буфером обмена (также с возможностью блокирования). Контроль печати Symantec осуществляет на уровне рабочих станций.

Механизмы распознавания – регулярные выражения и ключевые слова. Цифровые отпечатки могут использоваться в отложенном режиме после передачи на сервер Endpoint Prevent.

Symantec Endpoint Prevent & Discover поддерживает 32-битные редакции операционных систем Windows 2000/XP/Vista/7.

Что касается средства централизованного управления, то у Symantec это DLP Enforce Platform. Анализ фиксируемых событий осуществляется в едином веб-интерфейсе для всех событий. Функционал данного модуля аналогичен Websense. Поэтому описывать его повторно я не буду.

Рисунок 2. Интерфейс системы управления Symantec DLP

Рисунок 2. Интерфейс системы управления Symantec DLP

Решения RSA

У этого разработчика, известного прежде всего своими средствами шифрования, имеется продукт RSA DLP Suite. Данная система защиты основана на контроле исходящего сетевого трафика, поиске хранимых данных и агентского контроля. Шлюзовые компоненты DLP Suite осуществляют контроль всех сетевых коммуникаций. При нарушении политики обмена данными могут быть заблокированы протоколы SMTP, HTTP. Для контроля HTTPS используются собственные решения, разработанные RSA.

При обнаружении инцидента утечки, возможны следующие реакции: блокировка, карантин и оповещение. Для определения конфиденциального контента здесь используются цифровые отпечатки текста и баз данных, преднастраиваемые политики, регулярные выражения и ключевые слова.

Так же, как и у описанных ранее разработчиков, сканируются все основные форматы.

Для контроля хранимой информации используется DLP Datacenter Discover and Remediate. Сканирование для обнаружения хранимой информации инициируется с помощью сканирующих агентов для серверов под управлением разнообразных серверных платформ. Также возможно принудительное перемещение найденных файлов. RSA может обрабатывать следующие источники статично хранящейся информации: файловые серверы, конечные рабочие станции, сетевые папки общего доступа. Единственным способом контроля систем документооборота является контроль приложений – толстых клиентов.

В качестве метода детектирования конфиденциального контента, как и в предыдущих модулях, выступают цифровые отпечатки, преднастроенные политики, регулярные выражения и ключевые слова.

Следующим средством контроля утечки данных является RSA DLP Endpoint Enforce. Основными контролируемыми операциями являются: запись на съемные устройства, операции печати, отправка информации через браузеры с возможностью блокирования.

Продукт RSA поддерживает 32-битные редакции операционных систем Windows 2000/XP/Vista/7.

Решение RSA также имеет веб-интерфейс для управления, имеющий базовый функционал для управления инцидентами.

Решения Infowatch

Следующим в нашем списке разработчиков DLP-решений идет российская компания Infowatch. К сожалению, их решения нельзя назвать полноценной системой предотвращения утечек данных, так как полностью отсутствует контроль хранимой информации, что несколько усложняет контроль утечек.

Для предотвращения утечек по сетевым каналам связи разработчик предлагает Infowatch Traffic Monitor – систему защиты, основанную на контроле исходящего трафика по сетевым каналам, мониторинга содержимого, передаваемого на сменные носители. Шлюзовые компоненты Traffic Monitor осуществляют контроль электронной почты, веб-трафика и средств мгновенного обмена сообщениями. При нарушении политики обмена данными могут быть заблокированы протоколы SMTP и HTTP.

Анализ HTTPS осуществляется с помощью решения, разработанного Infowatch.

При обнаружении инцидента утечки возможны реакции: блокировка, карантин, оповещение. Для определения конфиденциального контента Infowatch использует цифровые отпечатки текста.

Система поддерживает форматы офисных документов: текстовые, HTML, PDF.

Следующим средством контроля утечки данных является Traffic Monitor for Device. Основная контролируемая операция – запись на съемные устройства без блокирования.

Распечатка документов контролируется с помощью дополнительного модуля Print Monitor.

Решение от Infowatch поддерживает 32-битные редакции операционных систем Windows 2000/XP/Vista/7.

Решения McAfee

McAfee Host DLP предназначен для предотвращения утечек с клиентского рабочего места. Система защиты основана на агентском контроле использования конфиденциальной информации. Таким образом, задачи контроля утечек осуществляются только на стороне клиента McAfee Host DLP.

При обнаружении инцидента утечки на уровне клиента можно настроить следующие типы реакции: мониторинг, оповещение, блокирование. Для определения конфиденциального контента система использует цифровые отпечатки текста, метки, а также регулярные выражения и ключевые слова.

Система поддерживает все основные форматы файлов.

McAfee Host DLP контролирует: запись на съемные устройства, операции печати, отправку информации через локальные соединения, операции с буфером обмена (с возможностью блокирования).

Контроль печати осуществляется, как и следовало ожидать, только на уровне рабочих станций. Поддерживаются 32-битные редакции операционных систем Windows 2000/XP/Vista/7.

В качестве средства централизованного управления используется McAfee ePolicy Orchestrator. Функционал системы управления аналогичен описанному ранее у других продуктов.

Цена вопроса

Описание DLP-решений было бы неполным без цен на используемые продукты. Для поиска цен предлагаю воспользоваться таблицей, приведенной на сайте Cnews [2].

А что же Linux?

Внимательный читатель наверняка заметил, что в занудных описаниях поддерживаемых операционных систем совершенно отсутствуют какие-либо дистрибутивы Linux. Это означает, что установить агентское ПО на рабочую станцию под управлением Linux не получится. Однако серверные части Symantec DLP можно установить на Red Hat Enterprise Linux 4.0 и 5.0. Аналогично Infowatch Traffic Monitor можно установить на RHEL 4. При этом станет осуществляться контроль сетевых каналов, но нельзя будет осуществлять контроль действий с файлами на хостах. Хочется надеяться, что скоро ситуация изменится к лучшему.

***

Мы рассмотрели основные решения по обеспечению предотвращения утечек данных. В зависимости от используемых в вашей сети приложений и протоколов можно выбрать решение, подходящее именно вам.

  1. http://www.leta.ru/press-center/publications/article_490.html – статья об интеграции DLP и IRM.
  2. http://www.cnews.ru/reviews/free/security2009/articles/dpl_table.shtml – таблица с описанием функционала DLP-решений.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru